Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 6088 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy - Drei Gruppen anlegen

malta
Hallo zusammen,

wir haben die Astaro GW 7.506 im Einsatz bzw. sind noch mitten in der Konfiguration. Die Astaro soll später erstmal unseren alten VPN Router ersetzen, d.h. die Nullroute unseres Gateways (ein Dlink Layer 3 Switch) zeigt später auf die Astaro.

Wir möchten unseren bisherigen Squid ablösen und die Proxy Funktion der Astaro nutzen. Unter Benutzer/Authentifizierung habe ich zwei Server hinzugefügt:

a) adirectory  
und
b) ldap

Beide Zugriffsmöglichkeiten funktionieren, der Test der Servereinstellungen wird aktzeptiert. Was für Vorteile mir SSO bringen soll, muss ich noch nachlesen. Aber das ist jetzt eher sekundär.

Auf geht es zum Punkt "Web Security / HTTP/S":
Bei zugelassene Netzwerke habe ich unser internal network hinzugefügt, der Betriebsmodus ist momentan auf "transparent mit Authentifizierung" eingestellt. Hintergrund ist der, dass wir möglichst nichts an den Clients einstellen wollen, d.h. die Proxy Einstellungen wollen wir nicht via gpo oder manuell den Clients einfügen. Benutzer/Gruppen habe ich auf unserem AD angelegt:

a) restriktiv
b) nicht restriktiv
c) special

Diese "Gruppen" kann ich auch in der Astaro auswählen.

Bei HTTP/S-Profile habe ich drei Proxy Profile:

a) restriktiv
b) nicht restriktiv
c) special

Filterzuweisungen habe ich drei Arten:

a) restriktiv
b) nicht restriktiv
c) special

und Filteraktionen ebenfalls:

a) restriktiv
b) nicht restriktiv
c) special

Der restriktive Zugang klappt ziemlich gut. Wir habe ca. 40 URLs importiert und nur die AD-User, die sich in der Grußße restriktiv befinden, können diese 40 URLs aufrufen. Alles andere wird blockiert.

Nun habe ich aber auch einige User (nicht restriktiv), die einen Vollzugriff erhalten sollen. Wie stelle ich das genau ein? Darüberhinaus gibt es noch die dritte Gruppe "special", das sind einige Server, die 2 oder 3 URLs aufrufen dürfen. Bei der Gruppe "special" möchte ich aber mit IP Adressen arbeiten,  nicht mit AD-Anmeldenamen.

Gibt es hier ein paar Tipps oder steht eine detaillierte Anleitung für den Proxy zur Verfügung, insbesondere dann, wenn man verschiedene Gruppen definieren möchte?

Herzlichen Dank für die Unterstützung.
malta


This thread was automatically locked due to age.
  • 0
    Wow, danke für die schnelle Antwort ;-) Besten Dank!
  • 0 in reply to malta
    Ich habe meine Proxy Settings nochmals komplett neu aufgesetzt, alles läuft bestens.

    Da ich aber auch den Proxy für eine Handvoll IP Adressen bereitstellen möchte, habe ich nun bei Proxy Profiles nochmals einen neues Profil erstellt, welches als Source Networks eine von mir erstelle "Network Group" nutzt, die 4 Rechner/IP Adresse beinhaltet. Als Filter Actions habe ich für die "IP-RESTRIKTIV" eine whitelist mit 5 URLs angegeben und abgespeichert. 

    Das Problem:

    Mir fehlen noch Filter Assignments, sonst kann ich das Proxy IP Profil nicht aktivieren. Bei Filter Assignment kann ich bei User/Groups nur AD bzw. LAPD User/Gruppen hinzufügen. Ich will aber IP Adressen bei Filter Assignment nutzen?

    Bezüglich der Proxy-IP-Only Einstellung habe ich früher einfach ein filter Assignment vom andere Proxy Profil genutzt, welches zwar überhaupt nicht funktioniert (da auf User getrimmt), aber als Fallback mein Server-restrikiv Filter Action beinhaltet, auf die dann am Ende zugregriffen wird.

    Kann man das eleganter lösen? Also direkt ein Filter Assignment anhand von IP Adressen?
  • 0
    IP Adressen nutzt Du als eigenes Proxy Profil. Hier legst Du ne Gruppe als Definition an und weist dieser Gruppe ein eigenes Profil zu, dass vor den restlichen Profilen steht. Da "first match" gilt, wird dieses Profil und die zugeordneten Filter Assignments genutzt.

    Innerhalb von Filter Assignments haben IPs nix zu suchen.

    Christian
  • 0
    Wir haben heute die Astaro ins scharfe Netz gestellt. Funktioniert prächtig und wahrlich schnell - ausgezeichnet.

    Ein Problem habe ich aber leider noch:

    Ein Proxy Profil, "Server IP restriktiv", welches einer Handvoll IP-Adressen (Unser Exchange Server, dazu ein TomTom-Server, der sich GPS Daten online zieht, WSUS Server (Updates), etc.) die nötigen Zugriffe erlaubt. 

    Beispiel der freigegebenen Seiten:

    tomtom.com
    Microsoft.com
    microsoft.de
    windowsupdate.com
    kaspersky.com
    194.25.134.99  (das ist die IP  von smtp2.webpage.t-com.de)

    Über unseren Exchange Server kann ich die oben genannten Seiten aufrufen, alle anderen werden blockiert. Das passt also. Wir haben einen PopCon im einsatz. Dieser ruft Emails von 194.25.134.99 über den Port 110 ab.  
    Sobald die Astaro übernimmt, funktioniert alles, nur die Emails können nicht abgeholt werden. Im Popcon kann ich den Proxy eintragen, inkl. dem Port. Aber die Abholung scheitert mit der Meldung, dass keine Verbindung hergestellt werden kann.

    Da die Internetseiten funktionieren, aber die IP Adresse über den Port 110 nicht, schätze ich, dass ich irgendwo noch die Rechte setzen muss? Wenn ja, wo?
    Mir ist bewusst, dass ich unter Mail Security eine SMTP Option habe, möchte den Exchange vorerst nur direkt über das vorhandene "Server IP restriktiv" Proxy-Profil durchschleifen.

    Besten Dank für die Hilfe!
    malta
  • 0
    Ist der POP3 Proxy in Einsatz?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Nein, läuft alles bis jetzt via HTTP Proxy. Dachte, das funktioniert trotzdem. ;-)

    Ein Kollege, der über den HTTP Proxy Vollzugriff hat, konnte darüberhinaus mit seinem Firebird Email Client (privat) auch keine Emails senden oder empfangen (was ja eigentlich okay ist). Siehe ähnlicher Thread hier:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/58823

    Kann ich beim HTTP Proxy noch irgendwelche Zusätzlichen Ports bzw. Protokolle hinzufügen, damit der Exchange senden und via Popcon empfangen kann? Oder muss ich da auf SMTP/POP3 PRoxy zurückgreifen?

    Sorry für mein bescheidenes Wissen & danke für die Hilfe.
  • 0
    Kann ich meine Problematik nicht mit dem "Packet Filter" unter "Network Security" lösen? D.h.  hier eine Regel für den Exchange Server erstellen, der die Services "SMTP" und "POP3" erlaubt?

    Hab das gerade gemacht, funktioniert aber trotzdem nicht. Dieser Weg wäre aber doch aber machbar, oder?